Resume Bab 4 COSO
Resume Bab 4 COSO
COSO
5. Pemantauan (Monitoring)
Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian intern sepanjang
waktu. Pemantauan mencakup penentuan desain dan operasi pengendalian tepat waktu dan
pengambilan tindakan koreksi. Proses ini dilaksanakan melalui kegiatan yang berlangsung secara
terus menerus, evaluasi secara terpisah, atau dengan berbagai kombinasi dari keduanya. Di
berbagai entitas, auditor intern atau personel yang melakukan pekerjaan serupa memberikan
kontribusi dalam memantau aktivitas entitas. Aktivitas pemantauan dapat mencakup penggunaan
informasi dan komunikasi dengan pihak luar seperti keluhan pelanggan dan respon dari badan
pengatur yang dapat memberikan petunjuk tentang masalah atau bidang yang memerlukan
perbaikan. Komponen pengendalian intern tersebut berlaku dalam audit setiap entitas. Komponen
tersebut harus dipertimbangkan dalam hubungannya dengan ukuran entitas, karakteristik
kepemilikan dan organisasi entitas, sifat bisnis entitas, keberagaman dan kompleksitas operasi
entitas, metode yang digunakan oleh entitas untuk mengirimkan, mengolah, memelihara, dan
mengakses informasi, serta penerapan persyaratan hukum dan peraturan.
Fokus Internal Coso:
Fokus Pengguna Utama adalah manajemen. Sudut pandang atas internal control adalah
kesatuan beberapa proses secara umum. Tujuan yang ingin dicapai dari sebuah internal control
adalah pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal
serta kesesuaian dengan peraturan yang berlaku. Komponen/domain yang dituju adalah
pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas
informasi dan komunikasi.Fokus pengendalian dari eSAC adalah keseluruhan entitas.
Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut
diterapkan dalam poin waktu tertentu. Pertanggungjawaban atas sistem pengendalian dari ESAC
ditujukan kepada manajemen. Kelima komponen IC di atas memiliki hubungan yang erat satu
sama lain. Larry F Konrath (1999) menggambarkan kelima komponen tersebut bagaikan sebuah
bangunan rumah dimana Lingkungan Pengendalian menjadi pondasinya. Penilaian risiko, aktivitas
pengendalian dan informasi dan komunkasi menjadi pilar-pilarnya. Sedangkan Monitoring
menjadi atapnya. Dengan demikian, sebuah IC akan berjalan secara efektif jika kelima unsur
tersebut terbangun dengan baik dan beroperasi sesuai proporsinya masing-masing.
Menurut COSO, semua orang dalam organisasi yaitu Manajemen, Dewan direksi, Komite
Audit, dan Personel lainnya bertanggung jawab terhadap pengendalian internal, karena semua
orang dalam organisasi memiliki peran dalam pengendalian internal, sehingga pengendalian
internal tidak dapat berjalan dengan baik apabila ada salah satu anggota yang tidak menjalankan
perannya dalam pengendalian internal. Pihak-pihak luar seringkali memberikan kontribusi
terhadap pencapaian tujuan perusahaan, seperti Auditor eksternal, Badan Regulasi dan legislatif,
customer, analis keuangan, dan media massa. Namun demikian pihak ketiga tersebut tidak
bertanggung jawab terhadap pengendalian internal karena mereka bukan bagian dari organisasi
maupun bukan bagian dari sistem pengendalian internal.
Tipologi Fraud
Association of Certified Fraud Examiners (“ACFE”) di Amerika serikat menyusun peta
mengenai fraud. Peta ini berbentuk pohon, dengan cabang dan ranting. Tiga cabang utama
dari fraud tree ini adalah Corruption, Asset misappropriation dan fraudulent statement.
Turunannya lebih jauh dapat dilihat dalam gambar dibawah.
Ada enam ranting yang muncul dari cabang corruption. Bandingkan ini dengan 30 (tiga
puluh) jenis tindak pidana korupsi dalam ketentutan perundang-undangan Indonesia. Cabang
kedua adalah Asset Misappropriation yang dapat diartikan secara bebas sebagai penjarahan
kekayaan perusahaan atau lembaga. Kita bisa membayangkan banyaknya jenis fraud dalam
cabang ini, mulai dari pencurian uang secara terbuka (larceny), pencurian dan penyalahgunaan
(misuse) harta lembaga, sampai pada larceny secara tidak langsung (rekening bank atas nama
pejabat). Cabang ketiga (Fraudulent Statement) merupakan fraud yang dilakukan dengan
menggunakan cara-cara akuntansi seperti earning managemen dan, windows dressing. Kausus
Enron merupakan contoh nyata dari tipeFraud ini.
Sedangkan Delf (2004) menambahkan satu lagi tipologi fraud yaitu cybercrime. Ini
jenis fraud yang paling canggih dan dilakukan oleh pihak yang mempunyai keahlian khusus yang
tidak selalu dimiliki oleh pihak lain. Cybercrimejuga akan menjadi jenis fraud yang paling ditakuti
di masa depan dimana teknologi berkembang dengan pesat dan canggih.
Faktor generic
– Kesempatan (opportunity) untuk melakukan kecurangan tergantung pada kedudukan
pelaku terhadap objek kecurangan. Kesempatan untuk melakukan kecurangan selalu ada
pada setiap kedudukan. Namun, ada yang mempunyai kesempatan besar dan ada yang
kecil. Secara umum manajemen suatu organisasi/perusahaan mempunyai kesempatan yang
lebih besar untuk melakukan kecurangan daripada karyawan;
– Pengungkapan (exposure) suatu kecurangan belum menjamin tidak terulangnya
kecurangan tersebut baik oleh pelaku yang sama maupun oleh pelaku yang lain. Oleh
karena itu, setiap pelaku kecurangan seharusnya dikenakan sanksi apabila perbuatannya
terungkap.
Faktor individu
Moral, faktor ini berhubungan dengan keserakahan (greed).
Motivasi, faktor ini berhubungan dengan kebutuhan (need), yang lebih cenderung
berhubungan dengan pandangan/pikiran dan keperluan pegawai/pejabat yang terkait
dengan aset yang dimiliki perusahaan/instansi/organisasi tempat ia bekerja. Selain itu
tekanan (pressure) yang dihadapi dalam bekerja dapat menyebabkan orang yang jujur
mempunyai motif untuk melakukan kecurangan.
Mengapa Pencegahan?
Keberhasilan kegiatan memerangi fraud, setelah korupsi terjadi adalah suatu ironi
tersendiri dalam upaya penanggualan fraud karena semakin banyak mendeteksi dan
menyelesaikan kasus berindikasi fraud, bukan merupakan kondisi umum yang dikehendaki
masyarakat, sebab pada dasarnya kejadian fraud bukanlah kejadian yang dikehendaki masyarakat.
Pencegahan fraud bisa dianalogikan dengan penyakit, yaitu lebih baik dicegah dari pada
diobati. Jika menunggu terjadinya fraud baru ditangani itu artinya sudah ada kerugian yang terjadi
dan telah dinikmati oleh pihak terntu, bandingkan bila kita berhasil mencegahnya, tentu kerugian
belum semuanya beralih ke pelaku fraud tersebut. Dan bila fraud sudah terjadi maka biaya yang
dikeluarkan jauh lebih besar untuk memulihkannya daripada melakukan pencegahan sejak dini.
Untuk melakukan pencegahan, setidaknya ada tiga upaya yang harus dilakukan yaitu (1)
membangun individu yang didalamnya terdapat trust and openness, mencegah benturan
kepentingan, confidential disclosure agreement dancorporate security contract. (2) Membangun
sistem pendukung kerja yang meliputi sistem yang terintegrasi, standarisasi kerja, aktifitas control
dan sistem rewards and recognition. (3) membangun sistem monitoring yang didalamnya
terkandung control self sssessment, internal auditor dan eksternal auditor
PENGENDALIAN UMUM
Pengendalian umum pada perusahaan dilakukan terhadap aspek fisikal maupun logikal.
Aspek fisikal dilakukan terhadap aset-aset fisik perusahaan, sedangkan aspek logikal terhadap
sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri
digolongkan menjadi beberapa, diantaranya:
a) Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan pengendalian organisasi adalah secara umum terdapat pemisahan tugas
dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga dapat
dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh
administrator.
b) Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem
informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.
c) Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi harus dikendalikan, termasuk
pengendalian versi dari sistem informasi tersebut, catatan perubahan versi, serta manajemen
perubahan atas diimplementasikannya sebuah sistem informasi.
d) Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem
informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap
sistem operasi sistem tersebut (misal: windows).
PENGENDALIAN APLIKASI
Pengendalian aplikasi adalah prosedur-prosedur pengendalian yang didisain oleh manajemen
organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses
bisnisnya dapat berjalan dengan baik.
Macam Aplikasi
Aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan untuk
kepentingan audit PDE:
1. Perangkat lunak berdiri sendiri
Terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak
aplikasi yang berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB
pada fungsi akuntansi dan keuangan.
2. Perangkat lunak di server
Tedapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada
server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai
sebagai antar-muka (interface) untuk mengakses aplikasi padaserver.
Macam Pengendalian Aplikasi
Pengendalian Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun
lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas
administrator, pengguna, hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, terpusat hanya pada pengendalian logika saja untuk
menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik
pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu
yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur
perusahaan berkaitan dengan nama pengguna dan sandi nya.
Pengendalian Input
Pengendalian input memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi,
akurat, dan terverifikasi.
Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana
proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2)
tahapan database, proses yang dilakukan pada berkas-berkas master.
Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat
mata) jika output yang dihasilkan juga kasat mata.